Стоит win2k, каждое утро при первом запуске машина уходит в BSOD.
пару раз даже при сейф моде: STOP 0x000001E (0xC000005, 0x000000.......) в дальнейшем запускается и работает вроде нормально.
Каспер ничего подозрительного не нашел.
Логи прилогаются.
Printable View
Стоит win2k, каждое утро при первом запуске машина уходит в BSOD.
пару раз даже при сейф моде: STOP 0x000001E (0xC000005, 0x000000.......) в дальнейшем запускается и работает вроде нормально.
Каспер ничего подозрительного не нашел.
Логи прилогаются.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\drivers\ctl_w32.sys','');
QuarantineFile('msansspc.dll','');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINNT\system32\drivers\ctl_w32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
При сохранении карантина Каспер сообщил:
"Троянская программа Rootkit.Win32.Agent.pg - лечение невозможно
C:\Downloads\avz4\avz4\Quarantine\2009-08-03\avz00002.dta"
Это нормально????
Антивирус надо отключать во избежание подобной ругани.
В правилах об этом сказано
карантин выслал.
также волнует вот это:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а также наличие С:\WIINT\Temp\startdrv.exe никак не могу избавится от него((((
[QUOTE=thyrex;441987]Сделайте новые логи[/QUOTE]???
вот новые логи:
В файл hosts сами вносили изменения?
Выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINNT\system32\drivers\ctl_w32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
[QUOTE=thyrex;442143]В файл hosts сами вносили изменения?[/QUOTE]
да, эт я сам внес адреса8)
карантин выслал.
вот логи
Откуда у Вас этот реликт: AVZ [COLOR="Red"][B]4.27[/B][/COLOR] ? Переделайте всё последней версией АВЗ.
Карантин выслал.
При запуске системы startdrv.exe постоянно лезет в атозагрузку:(
логи прилогаю.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ctl_w32');
QuarantineFile('C:\WINNT\Temp\startdrv.exe','');
QuarantineFile('C:\WINNT\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINNT\system32\drivers\ctl_w32.sys','');
DeleteFile('C:\WINNT\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINNT\System32\drivers\runtime.sys');
DeleteService('ctl_w32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ctl_w32');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
машина в Bsod перестала уходить.
АVZ при попытке просмотра карантина выдает ошибку "Error reading StatusBar. Left: Out of system resourse" ..... пришлось ручками упаковывать все шо там на сегодняшнюю дату было:?
логи AVZ и GMER высылаю
Почистите планировщик задач (АВЗ/Сервис/Диспетчер планировщика задач.)
[QUOTE]Spyware Process Detector
XoftSpySE[/QUOTE]удалите - оно бесполезно.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\drivers\ctl_w32.sys');
DeleteService('ctl_w32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ctl_w32');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
прошу прощения, но GMER лог создать не могу - при сканировании диска С: постоянно перегружает систему на этапе сканирования "Devices"!
[QUOTE=Detoxin;443358]прошу прощения, но GMER лог создать не могу [/QUOTE]А я его не просил делать :)
вот свежие логи
2-я попытка достучаться
[QUOTE=Rene-gad;443279]Spyware Process Detector
удалите - оно бесполезно.[/QUOTE]
Сделайте себе отдолжение: читайте сообщения хелперов - и количество ненужной работы значительно сократится.
покорнеше прошу прощения - Spyware Process Detector уже удалил.
остались волнения по поводу вот этого:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[QUOTE=Detoxin;443738]покорнеше прошу прощения - Spyware Process Detector уже удалил.[/QUOTE]
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению. :)
[QUOTE=Detoxin;443738]остались волнения по поводу вот этого:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.
[/CODE]